我读到,为了捕获不仅仅是我的机器的流量,我需要将网卡置于混杂模式。默认情况下,网卡似乎会过滤掉不适合它的数据包。
我的问题是:为什么我的网卡甚至会收到不适合它的流量?我的路由器不是应该只将数据包路由到其指定的计算机吗?
抱歉 - 这里是新手,这可能是我问的一个绝对可否决的问题。
我听说在无线网络中,流量会采用多条路径,NIC 将这些信号组合起来形成原始信号。因此,当网卡向网关发送某些内容时,它会发送多个信号,并且一些信号(如果不是全部)甚至可能被数据包嗅探器捕获。 监控模式也是这样工作的
简短的回答:这取决于。 :)
Wireshark Wiki:以太网捕获设置应该对您入门有所帮助。
您可能会惊讶地看到意想不到的流量,但在您研究一段时间后,通常可以解释每个数据包。
需要记住的一些事情是:
使用 Wireshark 或类似工具捕获流量时,NIC 将进入混杂模式,这会导致 NIC 接收到的ANY流量被记录在 Wireshark 中。
在某些情况下,交换机将在链路上发送流量,因为它(尚未)了解流量应发送到哪个链路。因此,您可能会看到一个数据包,其主机的 IP 与您的主机不匹配。
您的 LAN 上可能有配置错误的主机正在尝试与无法访问的主机进行通信。交换机不知道这一点,因此它会向主机发送流量,试图找到响应的主机。
可以看到大量广播流量并非全部发往您的主机,但 NIC 仍然收到它。
许多年前,家庭网络使用集线器连接多个设备,集线器将所有流量广播到每台主机(这就是集线器的工作方式)。今天的交换机比这要聪明得多,它们可以了解每个链路上的主机,并且在得知它们不会沿着链路发送不适合该链路的数据后。
在处理WIFI时,其他因素也会发挥作用,但由于我没有做足够的WIFI数据包捕获,我将把这个留给其他人来回答。